自去年以來透過惡意廣告散播, 把台灣當主戰場的 Cerber勒索病毒,又有新變種了,Cerber 現已成為當今家喻戶曉且演化速度最快的勒索病毒家族。就在今年五月,我們才介紹過該病毒的六個演化版本的行為演變。沒過幾個月,現在又出現了新的演化版本,而這一次則是除了增加竊取數位貨幣的行為外,還會在加密檔案之前,試圖偷取 Internet Explorer、Google Chrome 及 Mozilla Firefox 等瀏覽器儲存在電腦上的密碼,將資料傳送至駭客的幕後操縱 (C&C) 伺服器。
勒索病毒廣闢財源
然而整體上,這波 Cerber 病毒是經由電子郵件附檔散布:
圖 1:Cerber 勒索病毒的電子郵件。
這個 JavaScript 附件檔案就是趨勢科技偵測到的 JS_NEMUCOD.SMGF2B 惡意程式,它會從網路上下載 Cerber 的變種,也就是 RANSOM_HPCERBER.SMALY5A。此 Cerber 變種基本上與先前我們五月所發現的版本相同,只不過多了一項新的行為,那就是竊取比特幣(Bitcoin)錢包。
其鎖定竊取的比特幣錢包有三種:第一種是比特幣官方的 Bitcoin Core 錢包,另外兩種是第三方的 Electrum 和 Multibit 錢包。其作法是直接偷取比特幣錢包應用程式的對應檔案:
- dat (Bitcoin)
- *.wallet (Multibit)
- dat (Electrum)
此處有兩點值得注意。第一,竊取這些檔案並不代表就能取得錢包內的比特幣。歹徒仍須取得用來開啟錢包的密碼。第二,Electrum 從 2013 年晚期即不再使用 electrum.dat 檔案。
在檔案加密「之前」,先偷儲存在瀏覽器上的密碼
不過,新的 Cerber 變種所竊取的資訊還不只這些,它還會試圖偷取 Internet Explorer、Google Chrome 及 Mozilla Firefox 等瀏覽器儲存在電腦上的密碼。值得注意的是這些竊取資訊的行為都是發生在勒索病毒開始將系統上的檔案加密「之前」。
病毒一旦找到這類密碼與比特幣錢包檔案,就會將資料傳送至駭客的幕後操縱 (C&C) 伺服器。而且,錢包檔案一旦傳送至遠端伺服器,病毒就會將電腦上的錢包檔案刪除,讓受害者蒙受更大的損失。
從這項新的行為可以看出,駭客正試圖為勒索病毒尋找新的獲利管道。而竊取受害者的比特幣錢包,的確是一項有利可圖的潛在收入來源。
防範之道
目前 Cerber 感染電腦的管道依然不變,所以原本的防範之道還是適用。使用者只要養成習慣,不要輕易開啟來自外部或不明來源電子郵件附件檔案,即可有效降低風險。勒索病毒 Ransomware 不斷變種,擔心工作檔案、珍貴照片再也喚不回?PC-cillin 2017創新勒索剋星,給您重要檔案最嚴密防護!只要選取要保護的資料夾,「勒索剋星」便會保護資料夾內的檔案不受到勒索病毒的攻擊。一旦有可疑程式企圖加密受到保護的檔案時,「勒索剋星」會立即警告您,保護您最珍貴的檔案!>>即刻免費下載試用
趨勢科技Smart Protection Suites 和 Worry-Free Pro可讓使用者和企業偵測惡意檔案及垃圾郵件,攔截所有相關的惡意網址以防範上述威脅。此外還有趨勢科技Deep Discovery 可提供一層額外的電子郵件檢查,幫助企業偵測惡意的附件和網址。
搭載 XGen 端點防護的趨勢科技趨勢科技 OfficeScan™ 結合了高準度的機器學習與其他偵測技術和全球威脅情報,提供完整的勒索病毒與進階惡意程式防護。而我們的機器學習技術也經過特別調校,能夠偵測具備 Cerber 各種躲避技巧的威脅。
入侵指標資料
以下是該病毒相關檔案的 SHA-256 雜湊碼:
- 6c9f7b72c39ae7d11f12dd5dc3fb70eb6c2263eaefea1ff06aa88945875daf27 ─ SMALY5A
原文出處:Cerber Ransomware Evolves Again, Now Steals From Bitcoin Wallets 作者:Gilbert Sison 和 Janus Agcaoili
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。